Apoio Técnico
Documentação
Login
Contacte-nos
Não tem a certeza do que é ou como funciona a aplicação de patches em tempo real? Consulte este guia completo.
A Canonical faz um trabalho sólido de patching ao vivo, mas será que aplicar patches temporários é a solução certa para si - e valerá a pena os custos relativamente elevados? Além disso, e quanto às suas outras distribuições de Linux?
A aplicação de patches ao vivo é a melhor forma de instalar actualizações de segurança para os seus sistemas Linux. Com a aplicação de patches ao vivo, pode implementar os últimos patches de segurança para vulnerabilidades do kernel - mas sem a necessidade de reiniciar o sistema para aplicar o patch. Isto significa que não precisa de planear uma janela de manutenção e que os seus sistemas permanecem mais consistentemente seguros.
É por isso que, tal como outros principais vendedores de Linux, a Canonical decidiu desenvolver uma ferramenta de patching ao vivo para o Ubuntu, chamada Livepatch. No entanto, o Livepatch tem duas falhas-chave na forma como funciona - e é uma opção relativamente cara.
Como alternativa, talvez queira considerar a KernelCare Enterprise da TuxCare. Vamos mergulhar profundamente nas diferenças entre as duas ferramentas.
Conteúdo:
- O que é o Canonical Livepatch?
- Comparação entre Patching Temporário e Persistente
- Kernels Linux suportados
- Comparação de custos entre Canonical Livepatch e KernelCare
- Migrar de Canonical Livepatch para KernelCare
- Conclusão
O que é o Canonical Livepatch?
O patching ao vivo de kernels Linux já existe há mais de uma década, com a primeira solução viável a surgir no MIT em 2009. Foi chamada KSplice. A equipa da CloudLinux seguiu rapidamente com o KernelCare, e muitos dos principais fornecedores de Linux produziram entretanto ferramentas de correcção ao vivo. Para os utilizadores do Ubuntu, existe o Livepatch para fornecer actualizações de segurança.
Para todas as ferramentas de patching ao vivo a premissa é essencialmente a mesma, embora a diferença entre patching temporário e patching persistente seja a mesma, cobrimos isso na secção seguinte. A ferramenta Livepatch pega em kernels Linux activos e em funcionamento e substitui o código afectado num instante - num momento há uma vulnerabilidade do kernel, no momento seguinte corre código seguro, e não há necessidade de reiniciar.
Quando começamos o processo de obter a sua ficha de livepatch e de implementar o pacote de snap para ela, significa que a sua equipa de administração de sistemas não tem de agendar uma janela de manutenção e esperar pelo tempo de inactividade antes de aplicar um patch. Os patches são aplicados de forma consistente e sem demora, o que significa que há uma janela de tempo mais pequena onde os sistemas são vulneráveis.
Comparação entre Patching Temporário e Persistente
As ferramentas de patching ao vivo não são todas iguais - e uma das principais diferenças é a forma como os patches críticos de kernel são aplicados. Existem duas vias: patchings temporários e persistentes. Também chamada de patching dinâmico, o patching temporário utiliza uma técnica especial para aplicar um patching no núcleo - mas o patch não está totalmente integrado.
O Ubuntu Livepatch da Canonicals Ltd. faz uso da técnica de patching temporário ao aplicar actualizações de kernel, e em algum momento, os sysadmins precisam de reiniciar a máquina para integrar totalmente esse patch - por isso, são eventualmente necessários reboots perturbadores. Assim, embora o patching temporário nos ajude muito para executar cargas de trabalho seguras e protegidas, ainda não é o ideal. A fricção aqui vem das possíveis interacções entre patches subsequentes que afectam o mesmo código - e isso é muito complicado de acertar, pois o número de combinações possíveis de patches já implantados (ou não) para uma determinada secção de código pode crescer rapidamente. É aí que entram os patches persistentes.
O patching persistente tem uma abordagem diferente, porque cada patch de kernel é totalmente integrado num instante, não sendo nunca necessário reiniciar para completar o patching. Os patchings são cumulativos - por outras palavras, em vez de aplicar um patch em cima de outro, todas as correcções são incluídas no binário de uma só vez. O patching persistente atinge o importante objectivo de remover completamente a necessidade de reboots e reduz ao máximo o tempo de paragem.
Kernels Linux suportados
A maioria das ferramentas de patching ao vivo de kernel geridas funcionam apenas para uma distribuição Linux específica, e é também o caso do Livepatch Ubuntu da Canonical, que suporta apenas sistemas Ubuntu, e apenas 4.4 e kernels mais recentes. Isso é óptimo se toda a sua carga de trabalho for baseada nas últimas distribuições Ubuntu - mas não o cobrirá para outras distribuições Linux. Como algumas distribuições Linux são melhor adaptadas para alguns cenários, é comum encontrar múltiplas distribuições a funcionar cumprindo diferentes papéis numa dada organização. Assim, o Livepatch cobriria apenas parcialmente as suas necessidades de patching ao vivo.
O KernelCare Enterprise, por outro lado, suporta uma gama muito mais ampla de distribuições, incluindo patches ao vivo de kernel para RHEL, Debian, CentOS e assim por diante (de facto, cobrindo mais de 40 distribuições diferentes do Enterprise grade Linux, e bem mais de 4000 combinações de distribuição + versão do kernel). É uma solução one-stop, o que significa que não precisa de executar múltiplas soluções de patching ao vivo para cobrir todos os seus sistemas baseados em Linux.
Comparação de custos entre Canonical Livepatch e KernelCare
O Ubuntu Livepatch da Canonical não é a solução ao vivo mais cara para patches críticos de kernel, mas também não é a mais barata. Não se pode obter o Livepatch como um produto separado, apenas está incluído como parte de uma subscrição Ubuntu Advantage que os utilizadores inscrevem para utilizar as suas contas Ubuntu One.
Os preços são um pouco complexos e dependem do facto de se gerir um servidor físico ou máquinas virtuais, mas começam a partir de $75 por máquina por ano, até $2.500 por máquina por ano. O KernelCare Enterprise da TuxCare é inferior a $60 por servidor por ano.
| Canonical Ubuntu Livepatch | Patching ao Vivo KernelCare Enterprise | |
|---|---|---|
| Distribuições suportadas | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, bem como Red Hat, Oracle, AlmaLinux e muitos outros |
| Arquitecturas | x86-64 | x86-64, braço64 |
| Cobertura | Kernel Linux | Kernel Linux & espaço de utilizador crítico (glibc & openssl) |
| Vulnerabilidades corrigidas | Parte de Elevadas e Críticas | Todas |
| Patching de kernel ao longo da vida | 3-6 meses | Praticamente ilimitado |
| Patches Personalizados | Não | Sim (contacte-nos para versões ou configurações especiais) |
| Patching QEMU | Não | Sim |
| Patching de Bases de Dados | Não | Sim |
| Apoio 24/7 | Sim, com uma assinatura paga | Sim, online, 24/7/365 com diferentes prioridades para diferentes subscrições |
| Distribuição de Patchset | Cada patch representado como um módulo de kernel separado | Patchset único para todos os patches |
| API disponível? | Sim | Sim |
| Funcionalidade de Retrocesso | Não | Sim, sem reboot |
| Disponível para novos clientes? | Apenas clientes Ubuntu | Sim, e mais de 40 distribuições suportadas |
| Tipo de Patching | Temporário | Persistente |
| Add-ons | – | Patches personalizados, QEMU, patching de Bases de Dados |
| Custo do Patching ao Vivo | Incluído como parte de todos os pacotes de suporte de infraestrutura Ubuntu Advantage ($225-$1,500/máquina/ano em servidores físicos, $75-$500/máquina/ano - em VMs). | $59,50 por ano, por sistema. Diferentes add-ons podem ser incluídos na subscrição. O preço conjunto está disponível. |
Pronto para saber mais sobre a mudança para KernelCare?
Migrar de Canonical Livepatch para KernelCare
Se já estiver a utilizar o Livepatch, mude sem esforço para o KernelCare, trazendo todas as suas distribuições Linux sob uma única remessa de patching ao vivo. Instalar o KernelCare é simples, tudo o que precisa de fazer é correr um pequeno script na interface de linha de comando - não mais difícil do que activar o Livepatch da Canonical.
Tal como quando se instala a ferramenta Livepatch, o KernelCare simplesmente corre em segundo plano, nunca perturbando o seu funcionamento. Graças à metodologia persistente de patching do KernelCare, um único script é tudo o que precisa para praticamente eliminar os reboots relacionados com patching - ao contrário do serviço Livepatch no Ubuntu, que requer reboots ocasionais.
Conclusão
Se estiver apenas a executar sistemas Ubuntu, o custo e a sua capacidade de acomodar interrupções contínuas relacionadas com a reinicialização para integrar patches críticos do kernel. Só usa o Ubuntu, e precisa de subscrever o Ubuntu Advantage de qualquer forma? Então sim, o livepatching ao vivo de kernel Livepatch pode ser uma opção sensata - dependendo de quão perturbador é o regime de patching temporários do Livepatch.
Por outro lado, se não precisar de todos os luxos de uma subscrição Ubuntu Advantage, então a utilização do KernelCare pode significar poupanças significativas. Confie numa variedade de distribuições Linux - e não apenas no Ubuntu? O Livepatch não cobre as suas máquinas não Ubuntu e não pode forçar o Livepatch a trabalhar no RHEL, por exemplo. Deve também considerar KernelCare se os requisitos do Livepatch para reboots ocasionais causarem problemas com a sua carga de trabalho e se precisar de reduzir o tempo de inactividade.
Fale com um Especialista TuxCare
Conte-nos os seus desafios e os nossos peritos ajudá-lo-ão a encontrar a melhor abordagem para os resolver com a linha de produtos TuxCare.